Linux vs Zombieload

0
149

Nuovo “Spectre-classe’ difetti Cpu Intel potrebbe essere svelato a breve
I rapporti stanno emergendo circa otto nuovi ” Spectre-classe di sicurezza CPU vulnerabilità. Leggi di più: https://zd.net/2wjWREu

Zombieload suona come una brutta orrore di film per adulti, ma in realtà è l’ultima classe di processori Intel vulnerabilità di sicurezza. Scoperto da ricercatori, gli hacker possono utilizzare Zombieload per rubare i dati che vengono utilizzati all’interno di una CPU.

Oh, ragazzo.

I ricercatori hanno dimostrato un Zombieload exploit che può guardare oltre la spalla virtuale per vedere i siti web che si sta visitando in tempo reale. Il loro esempio ha mostrato di qualcuno spiare un altro qualcuno che utilizza la privacy-tutela Tor Browser in esecuzione all’interno di una macchina virtuale (VM).

Zombieload il nome formale “della microarchitettura Dati di Campionamento (MDS).” È più comune nome deriva dal concetto di “zombie carico.” Si tratta di una quantità di dati che il processore non riesce a gestire. Il chip quindi chiede aiuto dal microcodice per evitare una caduta. Normalmente, le applicazioni, le macchine virtuali (Vm), e i contenitori possono visualizzare solo i propri dati. Ma il Zombieload vulnerabilità consentire a un utente malintenzionato di spiare i dati attraverso i normali limiti su tutti i moderni processori Intel.

A differenza delle precedenti il Tracollo e di Spettro di problemi, Intel è stato dato il tempo di pronto stesso per questo problema. Intel ha rilasciato il microcodice patch. Questi aiutare a svuotare il buffer del processore, impedendo dati da letto.

Per difendersi, il processore deve essere aggiornato, il sistema operativo deve essere patchato, e per la maggior tutela, la tecnologia Hyper-Threading per disabili. Quando Crollo e Spectre si presentò, gli sviluppatori di Linux sono stati lasciati al buio e strapazzate per patch Linux. Questa volta, sono stati tenuti in loop.

Zombieload, l’exploit, ha tre percorsi di attacco che potrebbe consentire a un utente malintenzionato di eseguire un canale laterale di attacco per bypassare le protezioni per leggere la memoria. I quattro Comuni di Vulnerabilità e di esposizione (Cve) per questo problema sono:

CVE-2018-12126 è un difetto che potrebbe causare la divulgazione di informazioni dal processore store buffer.CVE-2018-12127 è un exploit del microprocessore operazioni di carico che può fornire i dati di un utente malintenzionato sui registri della CPU e le operazioni che la CPU pipeline.
CVE-2018-12130 è il più grave dei tre temi, ha previsto la realizzazione del microprocessore riempire il buffer, e possono esporre i dati contenuti nel buffer.
CVE-2019-11091 è un difetto nella realizzazione di “riempimento del buffer,” un meccanismo utilizzato dalla Cpu quando un cache-miss fatta su L1 cache della CPU.

Quindi, come si è fatto male?

Red Hat, leader nel trattare con Linux i problemi di sicurezza, potenza: 12130 severità impatto “importante”, mentre gli altri hanno da moderata gravità.

Greg Kroah-Hartman, stabile del kernel Linux manutentore, senza mezzi termini, ha scritto:

Sto annunciando il rilascio del 5.1.2 kernel.

Tutti gli utenti del 5.1 serie di kernel deve aggiornare. Beh, mi permetta di riformulare che…

Tutti gli utenti di Intel processori a partire dal 2011, deve aggiornare.

Kroath-Hartmann ha concluso: “Come ho detto, poco più di un anno fa, Intel, ancora una volta, deve un sacco di gente un sacco di bevande per il fissaggio del loro hardware bug, nel nostro software.”

Red Hat ha osservato tutte le sue distribuzioni Linux di Red Hat Enterprise Linux (RHEL) 5 fino al nuovo RHEL 8 sono interessati. Le piattaforme basate su queste distribuzioni di Linux, come ad esempio Red Hat Virtualization e Red Hat OpenStack, sono anche vulnerabili.

Questa non è una Red Hat problema. Tutti-e dico tutti-distribuzioni di Linux sono vulnerabili. Questo perché il problema è davvero di Intel sottostante processori e non di sistemi operativi.

Come Chris Robinson, Red Hat la sicurezza dei prodotti assurance manager, ha spiegato:

“Queste vulnerabilità rappresentano una limitazione di accesso bypass difetto che gli impatti molti della CPU di Intel e molti dei sistemi operativi che consentono di hardware. Lavorare con altri leader del settore, Red Hat ha sviluppato il kernel aggiornamenti di sicurezza per i prodotti nel nostro portafoglio per affrontare questi problemi. Stiamo lavorando con i nostri clienti e partner per fare questi aggiornamenti disponibili, insieme con le informazioni che i nostri clienti hanno bisogno per proteggere rapidamente i loro sistemi fisici, virtuali, immagini e contenitore basato su distribuzioni”.

Questo significa anche, basato su Linux, i contenitori e le macchine virtuali sono aperto anche ad attaccare. Per proteggere te stesso, avrai bisogno di patch il seguente file in Linux: Kernel, Kernel-rt, libvirt, qemu-kvm, qemu-kvm-rhev, e microcode_clt su tutti i sistemi. In particolare, c’è un noto vettore di attacco per CE-2018-12130, che permette a un malintenzionato di VM o contenitore spy un’altra contenitori o macchine virtuali. In altre parole, è necessario patch di tutti i tuoi esecuzione di contenitori e le macchine virtuali su un server (o una mela marcia può rivelare i dati della patch.

Mentre le patch sono pronto, sarà degradare le prestazioni del sistema. In particolare, Red Hat consiglia ai clienti di valutare il loro profilo di rischio, per capire se gli attacchi di questa natura richiedono loro di prendere il passo ulteriore di disabilitare l’hyper-threading. Detto questo, a causa della minaccia di una vulnerabilità di concatenamento (la capacità di sfruttare una vulnerabilità da sfruttare un altro primo), Red Hat consiglia agli utenti di aggiornare tutti i sistemi, anche se essi non credono che la loro configurazione rappresenta una minaccia diretta.

Canonical, l’azienda dietro Ubuntu Linux, se la prende di più. Canonica consigliata la disabilitazione di hyper-yhreads se il sistema viene utilizzato per eseguire o non attendibile codice potenzialmente dannoso. Alcuni esempi di carichi di lavoro che garantisce il necessario disattivare l’hyper-thread:

Un sistema multi-utente con un potenziale utente malintenzionato. Un utente malintenzionato potrebbe sfruttare MDS per estrarre segreti per gli altri utenti del sistema.Un sistema che gestisce i programmi che provengono da fonti discutibili. Questo può verificarsi se un utente sul sistema, fa regolarmente uso di nuove versioni dei programmi che vengono pubblicati da un individuo o un gruppo che non si fida completamente. Un software dannoso editore può sfruttare MDS per estrarre i segreti dal sistema.Un sistema che ospita le macchine virtuali da diversi domini di protezione e/o che il proprietario del sistema non completamente attendibili. Un programma dannoso in una macchina virtuale potrebbe estrarre segreti da altre macchine virtuali o dall’host di virtualizzazione.

Leggendo tra le righe, fatta eccezione per le persone in esecuzione stand-alone desktop Linux, Canonico consiglia di fare la patch e disattivare l’hyper-threading.

Deve leggere

Le Cpu Intel influenzato dalle nuove Zombieload canale laterale attackNew hardware canale laterale attacco funziona con Windows e LinuxIntel Cpu influenzato dalle nuove PortSmash canale laterale vulnerabilità

La maggior parte di business distribuzioni Linux hanno già la patch pronto ad andare. Ma essi non possono essere disponibili attraverso il consueto patch di protezione di canali. Canonica, per esempio, ha dichiarato: “a Causa della complessità dei cambiamenti necessari per mitigare questo hardware vulnerabilità, un live patch non sarà disponibile via Canonica Livepatch Servizio.”

Red Hat VP di piattaforme di sistema operativo, Denise Dumas, ha detto: “Perché questi aggiornamenti di sicurezza possono influire sulle prestazioni del sistema, Red Hat ha previsto la possibilità di attivare queste correzioni in modo selettivo al fine di gestire al meglio l’impatto sulle prestazioni carichi di lavoro sensibili.”

Una volta effettuato il kernel e Intel microcodice patch, se si vuole prendere la precauzione supplementare di disattivare l’hyper-threading, è possibile farlo. Questo impostando il boot del kernel Linux opzione:

le attenuazioni=auto,nosmt

Per maggiori informazioni su come lavorare con il kernel, vedi Il kernel di Linux utente e guida dell’amministratore.

L’unica vera soluzione a lungo termine

Il kernel di Linux Nucleo di Pianificazione, un nuovo programma di pianificazione, può contribuire a mitigare Zombieload. Ma anche Peter Zijlstra, il kernel di Linux developer sorveglianza, non è felice con esso. Egli la presentò come dire odiava con una passione, e non importa quello che hai fatto con il programma, “è costoso e brutto.”

L’unica vera soluzione a lungo termine — per Linux e altri sistemi operativi — è quando Intel presenta una nuova generazione di processori. Come è, l’attuale generazione di Cpu Intel, con la loro età esecuzione speculativa approccio di processo, migliora la velocità di elaborazione dei dati e le prestazioni, ma il prezzo di built-in di protezione.

Linux

Il desktop Linux è in difficoltà

Linus Torvalds: la Gente mi prenda troppo sul serio, non posso dire stupido merda più

Windows, Mac, o Linux? Mettiamo a confronto i pro e i contro di queste piattaforme informatiche

Pengwin: Linux, in particolare per il Sottosistema di Windows per Linux

Facebook, Twitter, Instagram sono “spazzatura”, dice Linux fondatore (CNET)

Perché Linux spicca tra gli altri Sistemi operativi (TechRepublic)

Argomenti Correlati:

Linux

Di sicurezza, TV

La Gestione Dei Dati

CXO

Centri Dati